Keelback Net : la sonde d'Airbus contre les cyberattaques de réseaux industriels

La sonde Keelback Net développée par Airbus Defense and Space détecte et analyse en profondeur les cyberattaques sur les réseaux industriels. Son objectif : raccourcir le délai de détection des attaques les plus furtives pou assurer une défense efficace au regard des enjeux actuels de cybersécurité.

Partager
Keelback Net : la sonde d'Airbus contre les cyberattaques de réseaux industriels

Les attaques furtives sur les réseaux d'informations des entreprises ne sont pas les plus grosses en volume, mais elles sont les plus "graves" et les plus ciblées. Appelées APT (pour Advanced Persistent Threat), ces attaques sont celles qui espionnent, voire sabotent, les systèmes industriels. Les APT ne se voient pas, ne se montrent pas, mais sont bien présentes sur les systèmes. Et c'est, la plupart du temps, lorsqu'il est trop tard pour agir que les entreprises s'en aperçoivent.

La sonde de détection d'APT d'Airbus Defense and Space s'inscrit dans le mouvement de renforcement des systèmes d'information des entreprises, recommandé par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) en 2013. Elle permet de détecter les cyberattaques les plus furtives dès les premières phases d'installation (premières semaines) sur le système d'information. La sonde est particulièrement destinée aux Opérateurs d'importance vitale (OIV), aux entreprises du CAC 40, aux grands donneurs d'ordres, aux institutions étatiques et un peu à la défense.

>>A LIRE L'Anssi érige les règles de la cybersécurité

Appelée Keelback Net, cette sonde dispose de trois fonctionnalités clés : la détection d'intrusion, l'analyse de paquets en profondeur (deep packet inspection) et la capture de trafic brut pour analyser les malwares qui transitent dans ce trafic et extraire les sections suspectes sur lesquelles on fait de l'analyse. Vincent Loriot, responsable produit Keelback à Airbus Defense and Space, commente : « Sur la base de ces trois moteurs, nous allons faire de la détection par signature classique et de la détection comportementale. La détection par signature va nous permettre de détecter les menaces connues et l'analyse comportementale d’identifier des comportements suspicieux pour détecter les nouvelles menaces. La combinaison des deux capacités au sein d’un même environnement nous permet d’assurer une détection optimale et affinée des attaques, ce qui est essentiel pour les qualifier et les traiter de la façon appropriée ».

Analyser sur des fenêtres de temps

Sur la base de l'analyse du trafic en profondeur, cela consiste à extraire les métadonnées du trafic, sur lesquels les ingénieurs calculent des comportements typiques d'usage du réseau, et mesurent les écarts par rapport à ce comportement. Ainsi, les écarts générent des alertes présentées aux experts de cybersécurité d'Airbus, qui analysent les raisons de cet écart et déterminent s'il s'agit d'un incident ou non. Tout cela a été rendu possible grâce à la combinaison d'outils d'analyse, qui vont de la détection instantanée, concernant des attaques peu discrètes ou ayant des modes opératoires bien connus, à la reconnaissance des attaques sophistiquées, c'est-à-dire qui passent au-dessous du radar de ce qu'il est possible de détecter. « Et pour cela, explique Vincent Loriot, nous travaillons sur des fenêtres de temps de plusieurs jours pour détecter les attaques les plus évasives ». L'objectif de Keelback Net étant de raccourcir le délai de détection des attaques les plus furtives afin d'assurer une défense efficace au regard des enjeux actuels de cybersécurité. Le lancement officiel s'est déroulé au Forum international de la cybersécurité (FIC 2015), à Lille.

Connaître les modes opératoires sans se faire repérer

Comment se déroule une attaque sur les systèmes ? « L'attaquant fait d'abord de la reconnaissance de système, explique l'expert d'Airbus. Puis, il déploit des logiciels malveillants pour compromettre le système et il diffuse ses outils et son environnement pour pouvoir ensuite passer à la phase d'exploitation. Entre chaque étape, l'attaquant se met en sommeil de manière à ne pas se faire repérer. Notre solution permet de détecter l'attaque dès ses premières phases alors qu'aujourd'hui quand elles sont détectées, c’est généralement durant la phase finale ».

>> A LIRE

La reconnaissance du système cible est technique. L'attaquant récupére des informations publiques sur les systèmes informatiques de l'entreprise. Il fait ce que l'on appelle des "scans de ports" pour voir quelles sont les failles existantes sur le système. Et ce, de manière la plus discrète possible pour ne pas se faire repérer. Ensuite, il couple cette reconnaissance à de "l'ingénierie sociale". Vincent Loriot explique : « l'attaquant va chercher qui travaille dans cette entreprise, croiser ces informations avec les réseaux sociaux utilisés par ces personnes à usage personnel ou professionnel. Ensuite, il y a plusieurs façons de s’introduire dans un système. Souvent, l’attaquant contacte des personnes ciblées en leur envoyant des messages infectés, des pièces jointes qui déclenchent un malware sur leur poste et créer l'installation d'un canal de commande sur le réseau ». Et une fois le canal mis en place, l'attaquant l'utilise pour s'installer dans le SI, notamment en répandant des points de contrôle sur différents endroits critiques du réseau. « Le plus souvent, l'attaquant installe des points de contrôle de nature différente de sorte que, si on cherche à faire une éradication trop brutale, on supprime un type de point de contrôle et non tous les points. Ainsi, il va pouvoir utiliser l'un de ces points de contrôle restants en tant que plan de repli pour se propager à nouveau. Il est donc important de pouvoir remonter le fil d’une attaque et disposer de moyens d’investigation pour assurer une éradication complète et non partielle ».

C'est pour cela que la phase de navigation est très importante dans la détection d'attaque furtive, pour connaître les modes opératoires des attaquants. De plus, la sonde d'Airbus va être complètement passive et transparente sur le réseau de manière à ce que l'attaquant ne puisse pas non plus détecter qu'il est sous surveillance. L'objectif est de ne pas montrer à l'attaquant que l'on sait détecter ses premières phases d'attaque.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'hebdo de la techno

Nos journalistes sélectionnent pour vous les articles clés de l'innovation technologique

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

LES ÉVÉNEMENTS L'USINE NOUVELLE

Tous les événements

LES PODCASTS

A Grasse, un parfum de renouveau

A Grasse, un parfum de renouveau

Dans ce nouvel épisode de La Fabrique, Anne Sophie Bellaiche nous dévoile les coulisses de son reportage dans le berceau français du parfum : Grasse. Elle nous fait découvrir un écosystème résilient, composé essentiellement...

Écouter cet épisode

Les recettes de l'horlogerie suisse

Les recettes de l'horlogerie suisse

Dans ce nouvel épisode de La Fabrique, notre journaliste Gautier Virol nous dévoile les coulisses de son reportage dans le jura suisse au coeur de l'industrie des montres de luxe.

Écouter cet épisode

Le rôle des jeux vidéo dans nos sociétés

Le rôle des jeux vidéo dans nos sociétés

Martin Buthaud est docteur en philosophie à l'Université de Rouen. Il fait partie des rares chercheurs français à se questionner sur le rôle du jeu vidéo dans nos sociétés.

Écouter cet épisode

Les coulisses d'un abattoir qui se robotise

Les coulisses d'un abattoir qui se robotise

Dans ce nouvel épisode de La Fabrique, Nathan Mann nous dévoile les coulisses de son reportage dans l'abattoir Labeyrie de Came, dans les Pyrénées-Atlantiques, qui robotise peu à peu ses installations.

Écouter cet épisode

Tous les podcasts

LES SERVICES DE L'USINE NOUVELLE

Trouvez les entreprises industrielles qui recrutent des talents

Safran

CHEF DE PROJET IT F/H

Safran - 22/11/2022 - CDI - Vélizy-Villacoublay

+ 550 offres d’emploi

Tout voir
Proposé par

Accédez à tous les appels d’offres et détectez vos opportunités d’affaires

49 - Cholet

Prestation de surveillance et de sécurité par vigile de l'accueil de la CAF de Maine-et-Loire

DATE DE REPONSE 06/01/2023

+ de 10.000 avis par jour

Tout voir
Proposé par

ARTICLES LES PLUS LUS